Sosyal Mühendislik Nedir?

Sosyal mühendislik nedir? Bu yazıda size siber güvenlik kapsamında Sosyal Mühendislik nedir, siber saldırganlar insanları ikna etmek için hangi teknikleri bir kaç canlı örnek ile paylaşmak istedim. Sosyal Mühendislik, size ait gizli bilgileri elde etmek için çeşitli teknikleri kullanarak, sizleri ikna etme yöntemidir diyebiliriz. Sosyal mühendislikte, kötü niyetli kişiler size ait gizli bilgileri ele geçirmek için internet üzerinden elektronik posta, sosyal medya yada telefon kullanarak sizleri manipüle ederek size ait gizli bilgileri almaya çalışırlar. Sosyal mühendislik tekniklerine hakim olmanız sizleri bu tür saldırılara karşı hazır hale getirecektir.

Geçen hafta Sophos Evolve 2020 etkinliğinde Rachel Tobac ın bir sunumunu izledim. Rachel, ProofSecurity kurucusu ve CEO su. Kendisi aynı zamanda iyi bir sosyal mühendis ve canlı yayında insanların kişisel gizli bilgilerini sosyal mühendislik teknikleri ile ele geçiriyor. Sunumda da CNN Muhabiri’nin otel hesabında bulunan puanları kendi hesabına nasıl aktardığını gösterdi. Oldukça etkili ve öğretici sunumda aldığım notlar ve bu konu özelinde kendi deneyimlerimden de önemli gördüğüm bilgileri sizlerle paylaşmak istedim. Keyifli okumalar.

İnsanları İkna Etmenin 6 Prensibi

Rachel sunumunda siber saldırganların kullandığı sosyal mühendislik yöntemlerinden bahsetti. Genel olarak kullanılan yöntemler insanları ikna etmek için  kullanılan aşağıda paylaştığım altı prensibe dayanıyormuş. İnsanları ikna etmenin 6 prensibi Dr. Robert Cialdini tarafından yazılan İknanın Psikolojisi kitabında paylaşılmış.  Aşağıda insanları ikna etmenin 6 prensibini  başlık olarak veriyorum. Detayları için ayrıca bir yazı hazırladım bu adresten erişebilirsiniz.

• Mütekabiliyet/Karşılıklılık -Reciprocity
• Kıtlık/Az Bulunurluk – Scarcity
• Otorite/Yetki – Authority
• Tutarlılık – Consistency
• Beğeni/Hoşlanma – Liking
• Uzlaşma – Consensus

Şimdi gelelim Rachel’in sunumda bizimle paylaştığı sosyal mühendislik gösterisine!

Rachel CNN muhabirinin otel hesabındaki puanların  yukarıda paylaştığım ikna yöntemlerinin bazılarını kullanarak kendi hesabına aktarılmasını sağladı! Aşağıdaki video uygulamalı tüm detayı izleyebilirsiniz.

Rachel, CNN muhabiri Donnie O’Sullivan’ın hesabına erişebilmek için ihtiyaç duyduğu bilgileri “Ad Soyad”, “Güncel Ev Adresi”, “Doğum Tarihi”, “Elektronik Posta Adresleri”, “Telefon Numaraları” olarak belirtti. Yani bir siber saldırgan size ait bu bilgilere erişebilirse sizin daha gizli bilgilerinizi, banka hesabınızı,… ele geçirebilir. Düşünün sizlerin bu bilgileri erişilebilir durumda mı?. Rachel, Donnie’nin kişisel bilgilerinin bir kısmını twitter hesabından buldu. Telefon numarasını kaldıkları otelden ulaştı. Adresini Donnie’nin alış veriş yaptığı bir mobilya mağazasından öğrendi! Daha sonra tüm kendi cep telefonuna bir uygulama kurarak kendi telefonundan karşı tarafı sanki Donnie’ymiş gibi aradı. (hem numarasının Donnie’nin numarası gibi gösteren hem de ses değiştiren bir program kullandı) Otel görevlisi hiç bir doğrulama yapmadan Donnie’nin puanlarını Rachel hesabına aktardı, tabii Donnie şok oldu! Düşünün bunu siber suçluluların hesabınızdaki parayı çalmak için yaptığını! Dikkat!

Rachel’in bu durumlara düşmemeniz için önerileri;

1. Belirli bir seviyede paranoyak olun, tanımadığınız birisinden telefon yada elektronik posta ile bir talep iletildiğinde buna şüpheyle yaklaşın.
2. Sizi tanımayan birisi arayıp bir talep ilettiğinde kim olduğunu sorun. Telefon numarasını alın geri arayın. Bir şekilde arayan kişinin sizden istediği şeyin gerçekliğini iki farklı yöntemle doğrulamaya çalışın.
3. Bir banka, telekom,… servis sağlayıcıdan aranıyorsanız. Kapatın geri arayın ve arayanın sizden istediklerini ileterek teyit alın.

Elektronik posta yolu ile size ait gizli bilgileri ele geçirmek için en sık kullanılan yöntemler;

• Microsoft’tan, Apple’dan,… gelen …. uygulamasının güvenlik açığını kapatmanızı isteyen bir elektronik posta
• Bir banka tarafından gönderilen şifrenizin değiştirilmesi,…. istenen bir elektronik posta
• Ödül kazandığınıza dair bir elektronik posta
• İş arkadışınız dan gönderilmiş gibi gösterilen içerisinde bir talimat olan bir elektronik posta

Rachel sunumunda son maddede belirtilen yöntemle gerçekte dolandırılmış bir kurbanın başına gelenleri paylaştı.  “Shark Tank” jürisi Barbara Corcoran tam 388.770 Usd dolandırılmış! Olayın gelişimi şu şekilde;

1. Siber saldırgan, Barbara’nın asistanı’nın e-posta adresini taklit ederek muhasebecisine bir elektronik posta gönderir. Sözde asistan muhasebecisine Barbara’nın onarımda olan evi için (gerçekte Barbara’nın Almanya’daki bir evinin tadilatı yapılıyormuş, siber saldırgan dersini iyi çalışmış) paranın gönderilmesi gerektiğini iletir.
2. Muhasebeci cevap olarak asistana sorun olmadığını söz konusu firmaya ne kadar gönderilmesi gerektiğini soran bir elektronik posta ile yanıt döner!
3. Sözde asistan cevap olarak Perşemge günü ilgili firmaya 388.770 Usd para gönderilmesini içeren bir elektronik posta iletir.
4. Muhasebeci 388.770 Usd para transferini yapar ve siber saldırgan parayı alıp kayıplara karışmıştır!

Uç bir örnek gibi görünüyor olabilir ancak buradan çıkartılacak okadar çok ders var ki? İletilen talebin teyit edilmesi, muhasebicinin mail ile  ilettiği talebi telefonla da doğrulaması gerekirdi! Rachel sunumunda bu tür durumlar için ikili doğrulama yönteminin kullanılmasını öneriyor!

Diğer yaygın saldırı yöntemi oltalama (phishing) tekniği ile kimlik bilgilerinizin çalınması. Sunumda Rachel aşağıdaki örneği paylaştı.

1. Resimde göreceğiniz şekilde Amerikan Havayolu şirketinden geldiği görünen sahte bir elektronik postada Covid-19 kaynaklı sebeblerle…. 50.000 Avantaj puanı verileceği söyleniyor. Bu fırsattan yararlanmak için için mesajın en altında bir bağlantı adresi paylaşılıyor ve kullanıcının bu adrese girmesini ve istenilen bilgileri doldurması isteniyor. 

2. Bağlantı adresine tıklandığında bir form açılıyor ve bu forma kullanıcının Amerikan Havayolu şirketindeki hesap bilgilerini girmesi istenmektedir.

3. Kullanıcı hesap bilgilerini girmesi sonrasında aslında sahte olan bu sitede kullanıcının bilgileri siber saldırganların eline geçmiş olacaktır.

Bu oltaya gelmemek için yapabilecekleriniz;

• Gönderen elektronik posta adresinin uzantısını kontrol edin. ...@... işaretinden sonra gelen alan adı gönderen şirketle uyumlu mu? Bunu anlamak için şirketin web sitesine ziyaret edebilirsiniz www dan sonra gelen alan adı ile @ işaretinden sonra gelen alan adı %99 aynıdır. Bu iki adreste bir farklılık varsa bundan şüphelenin.
• Elektronik posta adresi içerisinde verilen bağlantı adresi üzerine mouse ile geldiğinizde gideceğiniz yerin adresi bir şekilde görülür. Bu adres yukarda verdiğim formata uygun mu, sonu sirket alan adini içeriyor mu kontrol edin.
• Bağlantı adresine tıkladınız açılan pencere üzerinde mutlaka adresi kontrol edin.
• Şüpheleniyorsanız elektronik postanın gönderildiği şirketi arayın ve böyle bir uygulamaları olup olmadığını sorun.

Son olarak tekrar altını çizmek istiyorum;

• Biraz paranoyak olun! Tanımadıklarınız tarafından iletilen taleplerde mutlaka şüphelenin
• Bu talepleri mutlaka iki farklı yöntemle doğrulayın
• Tanımadığınız bir yerden telefonla arandığınızda kapatıp geri arayın
• Hesaplarınızda kullandığınız şifreleriniz mutlaka farklı olsun, facebook için ayrı, goole için ayrı şifreler kullanın
• Şirket elektronik posta ve şifrelerini sosyal mecralarda kullanmayın
• Mümkün olan her yerde çift faktör doğrulama yöntemini kullanın
• Şifrelerinizi yöneteceğiniz bir yardımcı araç kullanın

Güvenle kalın…